2016年12月,雅虎公司对外确认了一桩大规模数据泄露事件,涉及超过10亿个用户账户。而在对这一事件进行全面调查后,雅虎于2017年10月更新了这一数字,宣布实际受影响的用户账户高达30亿个。这意味着雅虎所有用户账户几乎全部被泄露,成为互联网历史上规模较大的数据泄露事件之一。这一事件不仅严重影响了雅虎的品牌形象,还在其被威瑞森通信公司收购的过程中产生了重大影响。
事件导入
雅虎在2016年8月开始调查一起声称拥有雅虎用户数据的黑市交易信息,随后确认在2013年曾发生大规模数据泄露。调查发现,攻击者早在2013年就通过钓鱼邮件或恶意软件获取了雅虎内部网络的访问权限,之后逐步获取了用户数据库的管理权限。最终确认受影响的用户账户数量为30亿个,几乎覆盖了雅虎当时全部的用户账户。被盗取的信息包括用户的姓名、电子邮件地址、电话号码、出生日期、加密密码以及安全问题和答案等。虽然支付卡数据和银行账户信息不在被盗数据范围内,但安全问题的答案一旦泄露,用户在其他使用了相同安全问题的账户上的安全也会受到影响。
泄密链路分析
雅虎数据泄露的具体攻击路径较为复杂,调查表明攻击者可能使用了多种手段相结合的方式。攻击者首先通过钓鱼邮件或恶意软件感染了雅虎员工使用的设备,获取了进入雅虎内部网络的初始入口。进入网络后,攻击者逐步搜索和扫描,找到存储用户账户信息的数据服务器。通过获取管理员的凭证,攻击者最终获得了对用户数据库的读取权限。雅虎在事后的调查中发现,其用户密码虽然经过哈希处理,但使用的是相对较弱的哈希算法,这使得攻击者可以通过计算还原出相当一部分用户的明文密码。安全问题和答案的存储方式更是存在明显弊端,这些信息未经加密存储,攻击者可以直接查看到完整的内容。
企业启示
用户数据的保护需要从底层技术架构层面做起。密码存储应当使用安全的哈希算法并配合加盐处理,安全问题和答案这类敏感信息同样需要进行适当的加密保护。企业安全团队需要对内部网络进行持续的监控,及时发现和阻断异常的数据访问和渗出行为。内部员工的凭证安全同样是企业需要重点关注的问题,通过加强对员工设备的安全管理和日志审计,可以降低攻击者通过员工端点进入企业内网的风险。企业还需要建立完善的事件响应机制,在发现安全事件后能够快速回溯、评估影响并采取应对措施。
行动建议
企业应当对用户密码存储方式进行评估和升级,确保使用符合行业标准的密码哈希算法。对安全问题和答案这类敏感信息实施加密存储策略,限制可访问的账户范围并建立访问日志。在网络安全方面,对内部网络实施监控和异常行为检测,对于查询大量数据或访问长期未使用的数据库的行为及时进行告警。在事件响应方面,企业应当制定数据泄露应急响应预案并定期进行演练。北京企密安为企业提供数据存储安全评估和密码安全改造方案,帮助企业保护用户数据安全,咨询请致电010-63711822或访问baomiwang.com。
FAQ
问:企业如何确定用户密码的存储方式是否足够安全? 答:企业需要了解密码哈希算法的安全性等级和使用情况,评估是否采用了加盐策略,定期检查密码存储方案是否能够应对当前的安全威胁和技术发展。北京企密安为企业提供密码安全评估服务,帮助企业识别密码存储方案中的风险点并提出改进建议。
问:数据泄露事件的调查通常需要多长时间? 答:数据泄露事件的调查时间取决于多种因素,包括泄露的规模大小、系统架构的复杂度、日志记录的完整程度以及调查团队的投入程度。小规模事件可能在几天内完成调查,而涉及复杂攻击链和大量系统的大规模事件可能需要几个月甚至更长时间才能全面还原事件的完整过程。
